Политика ответственного раскрытия уязвимостей (VDP)

Мы ценим исследования в области безопасности и принимаем добросовестные отчёты. Внешние пентесты сейчас не принимаем.

Область действия

• skyalo.com, *.skyalo.com

• Мобильные приложения Skyalo (актуальные публичные версии)

Вне области: сторонние сервисы, DoS/флуд, брутфорс, социнженерия, физические атаки, спам/DMARC-отчёты, раскрытие версий без влияния, clickjacking без доказанного влияния, отсутствующие заголовки без эксплойта.

Правила

• Действуйте добросовестно, избегайте нарушения приватности и деградации сервиса.

• Используйте только свои аккаунты/данные.

• Не получайте и не изменяйте данные, которые вам не принадлежат. При случайном доступе — немедленно остановитесь и сообщите нам.

• Не используйте автоматическое сканирование, влияющее на доступность/стабильность.

Как отправить отчёт

Пишите на [email protected], приложите:

• Затронутый хост/эндпоинт и окружение

• Чёткие шаги воспроизведения

• Минимальный PoC (HTTP-запрос/ответ, скриншоты)

• Оценку влияния и серьёзности (желательно CVSS v3.1)

• Окно тестирования и исходные IP

Не отправляйте секреты по e-mail (учётные данные, токены, дампы БД) — маскируйте чувствительное.

Safe Harbor

При соблюдении этой политики мы не будем предпринимать юридических действий и считаем ваши действия авторизованными в целях отчёта.

Награды и признание

Денежные вознаграждения сейчас не предусмотрены. За подтверждённые, не дублирующиеся отчёты — публичная благодарность (Hall of Fame) и, по запросу, письмо-благодарность. Дубликаты могут закрываться без дополнительного признания; кредит получает первый валидный отчёт.

Сроки и SLA

• Подтверждение получения: в течение 3 рабочих дней

• Статус после triage: по результатам рассмотрения

• Координированное раскрытие: просим не публиковать детали до выхода исправления (до 90 дней)

Цели по исправлениям: Critical — 7 дней; High — 30 дней; Medium — 90 дней; Low — по плану. В случае расхождений приоритет у английской версии.